RapperBot Malware emprunte à Mirai
RapperBot est le nom d'un malware découvert par des chercheurs de FortiGuard Labs.
Le nouveau malware bot est basé sur le code du tristement célèbre botnet Mirai et a été décrit comme "évoluant rapidement". La principale différence qui distingue RapperBot de Mirai est sa capacité à déchiffrer les informations d'identification à l'aide d'une méthode de force brute et à accéder aux serveurs SSH, tandis que Mirai recherchait les ports Telnet ouverts.
Une autre grande différence réside dans les nouvelles fonctionnalités ajoutées de RapperBot qui lui permettent d'obtenir une persistance sur les appareils compromis, permettant ainsi l'accès même après le redémarrage des appareils, même après la suppression du noyau du logiciel malveillant.
RapperBot, tout comme Mirai, analyse un grand nombre d'appareils exposés à Internet, à la recherche de serveurs SSH acceptant les mots de passe. Le logiciel malveillant extrait sa liste de force brute de ses serveurs de commande et de contrôle, permettant aux opérateurs de botnet d'étendre cette liste au fil du temps sans avoir besoin de pousser les mises à jour de code vers la charge utile du logiciel malveillant.
La persistance est obtenue en ajoutant une clé SSH à ~/.ssh/authorized_keys, ce qui permet d'accéder à ces appareils après un redémarrage brutal de l'appareil ou même après la suppression du logiciel malveillant.
Les chercheurs ont souligné la curieuse obsession de RapperBot de garder un pied sur les appareils qui ont été infectés. En fait, RapperBot choisit ce type de persistance obstinée plutôt que l'auto-propagation, car la capacité d'auto-propagation du logiciel malveillant a été supprimée dans une mise à jour de juin.